DNSSEC - DNS-Sicherheit
Auf der obersten Ebene der Domain Name System (DNS)-Hierarchie befinden sich Server-Cluster, die die Daten der DNS-Root-Zonen enthalten. Webanwendungen wie eCommerce, SaaS, Social Networking und auch E-Mail verlassen sich auf DNS. Leider enthält das DNS ungesicherte und anfällige Caching-Name-Server, die für Hacker, die Webtraffic mit sensiblen Daten abfangen wollen, ein leichtes Ziel darstellen.
Die von der DNS-Entwicklergemeinde empfohlene Lösung sind Domain Name System Security Extensions (DNSSEC), die digitale Signaturen und eine Public-Key-Verschlüsselung verwenden, um Webservern die Verifizierung ihrer Website-Domain-Namen und der entsprechenden IP-Adressen zu ermöglichen. DNS-Root-Zonen müssen dringend digital signiert werden, da jede Verzögerung für die weitere Integrität von Internet-, eCommerce- und Webanwendungen schädlich ist. Durch das Signieren der Zonen werden die Caching-Name-Server so konfiguriert, dass sie sicher funktionieren.
SafeNet Hardware-Sicherheitsmodule (HSMs) erfüllen die hohen Anforderungen an eine robuste Sicherheit und Verfügbarkeit, um die Integrität des Domain Name Space sicherzustellen. HSMs sind dedizierte Systeme, die kryptografische Keys und die kryptografische Verarbeitung, die den Kern digitaler Signaturen bilden, physisch und logisch sichern. HSMs sichern den DNS-Server, so dass das Generieren von Keys, das Speichern des Private Keys und das Signieren von Zonen auf einem DNS-Server stattfinden, der physisch gesichert ist und auf den nur berechtigte Mitarbeiter zugreifen können.
.gif "DNSSEC-Architektur")
SafeNet Key-Management für die DNS-Sicherheit
- Unterstützung für DNSSEC Anchor Trust-Systeme
- Key-Sicherheit für die Root- und die gesamte DNS-Hierarchie – ZSK und KSK
- Entlastung des DNS-Servers bei Verschlüsselung durch leistungsstarkes Kryptografiesystem
- Breites HMS-Spektrum für verschiedene DNSSEC-Anforderungen
- Standard-APIs einschließlich PKCS#11, Java, MS CAPI
- FIPS-validierte und Common Criteria-zertifizierte Modelle erhältlich
- Integration in führende DNS-Plattformen wie OpenDNSSEC, BIND 9.7, FreeBSD